Hermès // Document d'enregistrement universel 2021

2

RESPONSABILITÉ SOCIALE, SOCIÉTALE ET ENVIRONNEMENTALE ÉTHIQUE – CONFORMITÉ

GOUVERNANCE « PROTECTION DES DONNÉES

permet la prise en charge diligente et harmonisée des demandes quelle que soit leur provenance géographique et le canal de contact utilisé. En 2021 (chiffres de novembre 2020 à novembre 2021), 457 demandes ont été traitées, dont 10 % de demandes de modifications, 15 % de demandes d’information, 10 % de demandes d’accès et 60 % de demandes d’effacement des données. La sécurité des données personnelles est une composante essentielle de la protection de la vie privée. Dans ce contexte, les problématiques ont été mises en avant à travers des opérations de sensibilisation ("mois de la cybersécurité") et traitées dans le cadre de travaux réguliers avec les équipes du RSSI. La procédure de violation des données a été incluse dans le processus plus large de gestion des crises cyber (voir 4.1.1.3 Systèmes d’information et cyberattaque). Enfin, des contrôles sont effectués en coopération avec les équipes de la direction de l’audit et des risques et les contrôleurs internes des entités du groupe pour évaluer le respect des règles du groupe et de la réglementation applicable. 2.8.4 Hermès est un acteur engagé pour le respect des droits humains et des libertés fondamentales, de la santé et sécurité des employés et de la protection de l’environnement. Il en assure le contrôle à travers une politique et des actions concertées. Dans le cadre de la loi 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordres, le groupe Hermès a élaboré un plan de vigilance raisonnable propre à identifier les risques et à prévenir les atteintes graves envers les droits humains et les libertés fondamentales, la santé et la sécurité des personnes ainsi que l’environnement, résultant de ses activités et des activités de ses sous-traitants ou fournisseurs. LE DEVOIR DE VIGILANCE POLITIQUE La direction juridique conformité contribue à l’identification des risques en matière de devoir de vigilance (droits humains, libertés fondamentales, santé et sécurité et protection de l’environnement) et à l’élaboration des mesures visant à en prévenir les atteintes, notamment au sein de ses chaînes d’approvisionnement. Pour ce faire, elle collabore avec les principales directions support du groupe et s’appuie sur le Comité compliance et vigilance (voir paragraphe 2.8.1.2.3). GOUVERNANCE

2.8.3.2

PERSONNELLES »

Le délégué à la protection des données s’appuie sur un réseau de personnes à travers le groupe – principalement constitué du responsable de la sécurité des systèmes d’information (RSSI), des membres de la direction juridique et des contrôleurs internes. Ce réseau lui permet d’être régulièrement informé des problématiques en lien avec les traitements de données personnelles, de s’assurer qu’elles sont traitées de manière cohérente par les filiales et d’être alerté des évolutions légales et réglementaires locales le cas échéant. Depuis 2020, des lignes directrices sur la protection des données sont déployées auprès du réseau des contrôleurs internes afin de les accompagner dans leur mission de contrôle de deuxième niveau. Ces lignes directrices rappellent en particulier des éléments de gouvernance, les thématiques de contrôle et les outils à disposition pour ce faire. Une matrice de contrôles annuels précis et concrets devant être réalisés par les contrôleurs internes a été associée au déploiement des lignes directrices. En 2021, une déléguée régionale à la protection des données a été désignée pour la Chine, permettant au groupe de renforcer son accompagnement et son expertise dans un contexte législatif local en constante évolution (en particulier la nouvelle loi sur la protection des informations personnelles entrée en vigueur le 1 er novembre 2021). La déléguée régionale à la protection des données agit en coordination avec le délégué à la protection des données du groupe et la direction juridique locale afin de maintenir une cohérence de la politique de gestion des données personnelles dans l’ensemble du groupe Hermès. Le programme de sensibilisation et de formation a été enrichi de nouvelles sessions de formation des collaborateurs. En particulier, les équipes des ressources humaines françaises ont continué d’être formées, tous métiers confondus, dans le cadre du déploiement d’un nouveau système d’information de gestion des ressources humaines. Ce programme de sensibilisation et de formation est complété par le déploiement international d’un module de formation en ligne (e-learning) destiné à l’ensemble des collaborateurs du groupe et traduit en onze langues. À ce jour, près de 9 000 personnes parmi les fonctions et métiers les plus sensibles ont suivi ce module. Les principes de protection de la vie privée par conception et par défaut (Privacy by design & by default) sont assurés par l’utilisation d’outils de gestion des analyses d’impact sur la vie privée (PIA) et de gestion du registre des activités de traitement. Ces outils s’insèrent dans la procédure d’intégration de la sécurité et la vie privée dans les projets (ISP), qui associe les équipes du RSSI et du délégué à la protection des données du groupe. En 2021, 269 projets ont été traités par le biais de la procédure ISP. La gestion des droits exercés par les personnes concernées a été rendue plus efficace, en particulier grâce au déploiement d’un outil consécutif à la diffusion d’une nouvelle procédure de gestion des droits clients qui PRINCIPALES ACTIONS MISES EN ŒUVRE 2.8.3.3

ACTIONS MISES EN ŒUVRE ET RÉSULTAT

2.8.4.1

Chaque année, la direction juridique conformité fait un état des lieux des actions menées au sein du groupe dans le cadre du plan de de vigilance. Celui-ci est présenté dans le tableau ci-dessous et renvoie aux politiques du groupe, aux actions mises en œuvre en 2021 et aux indicateurs clés de performance.

206 DOCUMENT D’ENREGISTREMENT UNIVERSEL 2021 HERMÈS INTERNATIONAL